实施细粒度访问控制 Oracle Integration

为 Oracle Integration 实施细粒度访问控制模型，适用于需要按集成类型、环境或特定用户责任对集成访问进行精确、基于角色的控制的情况。

在实施企业级监管并确保安全的分段访问与组织的合规性和运营策略保持一致时，可以使用此架构。

通过将 Oracle Cloud Infrastructure (OCI) API Gateway 与自定义授权程序函数（通常使用 OCI Functions 实施）结合使用，该架构可对路由到 Oracle Integration 的所有 API 调用进行集中和动态授权。此模式将验证和授权逻辑与各个服务分离，从而确保集成环境的一致性和可重复使用性。

主要组件：

• Oracle Integration

  托管暴露业务流程、集成或定制 API 的目标 REST 端点。

• OCI API 网关

  作为客户端请求的反向代理，将它们安全地路由到相应的 Oracle Integration 端点。它还与授权程序功能集成，以强制实施基于 OAuth 的访问控制。

• 定制授权程序函数（ OCI 函数）

  无服务器函数，负责：

  • 验证身份提供者（例如 Oracle Identity Cloud Service 或任何第三方 OAuth 提供者）发出的 OAuth 2.0 访问令牌。
  • 评估令牌中嵌入的定制范围，以确定请求者是否具有调用目标 API 所需的权限。
  • 将授权决策返回到 OCI API 网关，该网关可根据结果允许或阻止请求。

体系结构

此架构概述了 Oracle Integration 的细粒度访问控制模型。

体系结构详细信息：

1. OCI API Gateway 触发 OCI Functions ，该函数用作自定义授权方来处理传入请求的授权逻辑。此请求包括用于授予 Oracle Integration 访问权限的访问令牌。
2. 授权程序函数执行以下步骤：
   1. 它从请求中提取令牌，并使用该令牌查询 OCI Vault 以获取敏感凭证，例如客户端 ID 和客户端密钥。
   2. 使用这些凭证，该函数针对 Oracle Identity Cloud Service (IDCS) 验证令牌以确保其真实性和完整性。
   3. 如果令牌有效，该函数将返回包含关键详细信息的响应，例如：
      1. 令牌有效性状态
      2. 主用户（用户身份）
      3. 客户端 ID 和客户端机密
      4. 访问范围
3. 然后， OCI API Gateway 使用此响应中的范围，根据 Oracle Integration 集成所需的访问级别验证令牌的范围。

如果范围匹配， OCI API Gateway 会将原始请求转发到 Oracle Integration API，该 API 受允许列表保护，现在使用经过验证的授权标头进行扩充，从而使集成流能够安全地继续。

下图说明了此参考体系结构。

插图 oracle-integration-rest-oauth-diagram.png 的说明

oracle-integration-rest-oauth-diagram-oracle.zip

该体系结构包含以下组件：

• 区域

  OCI 区域是一个本地化的地理区域，其中包含一个或多个托管可用性域的数据中心。区域独立于其他区域，并且很远的距离可以将它们分开（跨越国家甚至大洲）。

• 虚拟云技术网络 (VCN) 和子网

  VCN 是您可以在 OCI 区域中设置的可定制软件定义网络。与传统数据中心网络一样，VCN 允许您控制网络环境。一个 VCN 可以具有多个不重叠的无类域间路由 (classless inter-domain routing，CIDR) 块，在创建 VCN 后可以更改这些块。您可以将 VCN 细分为多个子网，这些子网可以限定为某个区域或某个可用性域。每个子网由一系列不与 VCN 中的其他子网重叠的连续地址组成。您可以在创建子网后更改子网的大小。子网可以是公共子网，也可以是专用子网。

• API 门户

  借助 Oracle Cloud Infrastructure API Gateway ，您可以发布具有专用端点的 API，这些端点可从您的网络访问，并且您可以根据需要向公共互联网公开。这些端点支持 API 验证、请求和响应转换、CORS、验证和授权以及请求限制。

• 函数

  Oracle Cloud Infrastructure Functions 是一个完全托管、多租户、高度可扩展、按需提供的函数即服务 (FaaS) 平台。它由 Fn Project 开源引擎提供支持。使用 OCI Functions ，您可以部署代码，直接调用代码或触发代码以响应事件。OCI Functions 使用 Oracle Cloud Infrastructure Registry 中托管的 Docker 容器。

• 集成

  Oracle Integration 是一个完全托管的预配置环境，允许您集成云和内部部署应用、自动执行业务流程以及开发可视化应用。它使用符合 SFTP 的文件服务器来存储和检索文件，并允许您使用数百个适配器和配方组合与 Oracle 和第三方应用程序连接，以与企业对企业贸易合作伙伴交换文档。

• 身份和访问管理

  Oracle Cloud Infrastructure Identity and Access Management (IAM) 为 OCI 和 Oracle Cloud Applications 提供用户访问控制。借助 IAM API 和用户界面，您可以管理身份域及其中的资源。每个 OCI IAM 身份域都代表一个独立的身份和访问管理解决方案或不同的用户群体。

• Oracle Cloud Infrastructure Vault

  借助 Oracle Cloud Infrastructure Vault ，您可以创建并集中管理加密密钥，以保护您的数据和用于保护云中资源访问安全的密钥凭证。默认密钥管理是 Oracle 管理的密钥。您还可以使用客户管理的密钥，这些密钥使用 OCI Vault 。OCI Vault 提供一组丰富的 REST API 来管理 Vault 和密钥。

了解更多

详细了解 Oracle Integration 集成。

查看以下其他资源：

• Oracle Cloud Infrastructure 文档中的 API Gateway 概述
• Oracle Integration 3
• Oracle Cloud Infrastructure 文档中的配置 OAuth
• Oracle Cloud Infrastructure 文档中的 Validating Tokens to Add Authentication and Authorization to API Deployment
• Oracle Cloud 成本估算器
• Oracle Cloud Infrastructure 文档
• Oracle Cloud Infrastructure 的体系结构完善的框架

确认

• 作者：Pradyumna Kodgi, Ravi Pinto, Sumit Aneja
• 贡献者：John Sulyok